Bem vindo ao SOS Designers

Faça o seu cadastro gratuito no Portal SOS Designers e tenha um acesso personalizado.

Empresas

Cadastre gratuitamente suas vagas, crie sua propria Lista de Curriculos Favoritos, e tenha um acesso personalizado.

Usuarios

Cadastre gratuitamente seu curriculo, crie sua propria Lista de Noticias Favoritas e tenha um acesso personalizado.

Área de Empresas | Vagas

Área de acesso a empresas cadastradas que desejam postar vagas de empregos no Portal e pesquisar curriculos.

Cadastre-se gratuitamente
Esqueceu a sua senha?

Área de Usuarios | Curriculos

Área do Usuario que deseja cadastrar seu curriculo e pesquisar vagas.



Cadastre-se gratuitamente
Esqueceu a sua senha?


Redes Sociais
Siga o Portal SOS Designers no Twitter Siga o Portal SOS Designers no Facebook

Cloud Computing


Você está aqui: Home » Cloud Computing » Compliance em Cloud: alguns pontos importantes

Compliance em Cloud: alguns pontos importantes


Pesquisar no Portal SOS Designers





Tempo Real



Siga o SOS Designers








pub_flash( 'http://www.sosdesigners.com/banners/mktdigital_flash_730x90.swf', 730, 90 ); " alt="Tecnoponta - 730 x 90 - MKT" />

À medida que torna-se mais conhecido, o modelo de Cloud Computing atrai mais atenção, mas um dos seus desafios ainda não resolvidos é a questão da compliance. Andei pensando um pouco sobre este assunto e gostaria de compartilhar algumas idéias com vocês.

A disseminação dos serviços de nuvem muitas vezes esbarra nos aspectos regulatórios. Algumas leis nacionais, como o Patriot Act dos EUA, afetam a privacidade dos dados e cria limitações para empresas estrangeiras usarem provedores de nuvens com data centers localizados nos EUA. O Patriot Act dá poderes ao FBI de exigir de qualquer organização o acesso a seus dados, bastando para isso identificar que a informação é pertinente a uma investigação autorizada. O texto completo do Patriot Act pode ser visto em http://epic.org/privacy/terrorism/hr3162.html.


Ao usarmos os serviços de determinados provedores globais de cloud computing, que não divulgam onde nossos dados estão armazenados, podemos estar sujeitos a legislações locais que conflitam com nossos objetivos de compliance. Por exemplo, empresas européias não armazenam seus dados em data centers localizados no teritório americano porque o Patriot Act conflita diretamente com as demandas de privacidade como definidas pela sua legislação (EU Data Privacy Initiative).


Outro ponto importante é que embora cloud seja um modelo de outsourcing, a reponsabilidade final pelo compliance é da empresa que usa o serviço em nuvem e não do provedor da nuvem. E dependendo da camada de serviços em nuvem contratados, o grau de responsabilidade e controle pode variar bastante. Por exemplo, ao contratar um serviço de IaaS, o provedor só pode assumir a responsabilidade de garantir a integridade e compliance do data center e das suas plataformas de hardware e software básico. Por outro lado, este provedor não tem como conhecer as aplicações dos seus usuários e portanto não pode garantir o compliance dos dados destas aplicações. O controle da aderência ao compliance é exclusivamente do usuário. Já ao contratar SaaS, o provedor deve assumir a responsabilidade pelo compliance, uma vez que o usuário não tem nenhum controle sobre o aplicativo. Mas em ambos os casos, o usuário é o responsavel legal pelo compliance e portanto deve garantir que seus provedores estejam aderentes, para evitar eventuais problemas jurídicos.


Um exemplo? Imaginemos que o usuário deva estar aderente à regulação PCI (Payment Card Industry Data Security Standards) e contrata um serviço em nuvem. Se a modalidade contratada for IaaS, o provedor deve garantir apenas o compliance da infraestrutura. O compliance do aplicativo é por conta do próprio usuário. Mas se a contratação for para SaaS, o provedor deve oferecer compliance também na camada do aplicativo. Mas o usuário deve se assegurar com evidências que o provedor está realmente compliance.


Outra questão ainda em aberto é se a legislação um país alcança outros territórios. Por exemplo, debate-se se o Patriot Act alcança data centers localizados em território fora dos EUA, caso estes data centers sejam de propriedade de empresas americanas.


O que fazer diante destes questionamentos? Ignorar cloud não é a melhor alternativa. Indiscutivelmente que cloud vai entrar nas empresas. Portanto, a melhor alternativa é estudar o assunto e colocar o jurídico da empresa analisando a questão. Analise cuidadosamente os aspectos de privacidade, jurisdição, facilidades de auditoria externa e investigações forenses, período de retenção dos dados por questões legais e possibilidade de verificação dos processos. É importante selecionar bem os provedores de nuvem e trabalhar de forma colaborativa com eles na questão do compliance.


Analisar bem o nivel de compliance dos provedores é essencial. Vamos olhar, por exemplo, as ofertas em nuvem da Amazon. Lendo seu agreement (http://aws.amazon.com/agreement/) observamos alguns aspectos interessantes:


a) Seção 4.3 diz expressamente “We are not responsible for any unauthorized access to, alteration of, or the deletion, destruction, damage, loss or failure to store any of Your Content or other data which you submit or use in connection with your account or the Services.”.

b) Seção 7.2 expressa: “We will have no liability to you for any unauthorized access or use, corruption, deletion, destruction or loss of any of Your Content or Applications.


Observe que estas salvaguardas por parte dos provedores são relativamente comuns e não apenas por parte da Amazon. Assim, analise os provedores de nuvem quanto ao seu grau de compliance e suas certificações, e se estão estão aderentes às demandas de sua empresa. Os profissionais de segurança da informação e de auditoria devem ser convocados para ajudar a garantir o nivel de compliance desejado. A Amazon via seu serviço de EC2 não garante aderência adequada? Armazene seus dados lá de forma criptografada. Ou então, crie uma private cloud hospedada em uma nuvem publica. Alguns provedores permitem isso.


Enfim, sempre há o que fazer, mas não deixe que as dúvidas e receios quanto ao uso de cloud impeçam você de seguir em frente.

Sobre o Colunista:

Cezar Taurion


Profissão: Gerente de Novas Tecnologias Aplicadas/Technical Evangelist da IBM Brasil

Descrição: Profissional e estudioso de Tecnologia da Informação desde fins da década de 70, com educação formal diversificada, em Economia, mestrado em Ciência da Computação e MBA em Marketing de Serviços, e experiência profissional moldada pela passagem em empresas de porte mundial.

Escreve constantemente sobre tecnologia da informação em publicações especializadas como Computerwold Brasil, Mundo Java e Linux Magazine, além de apresentar palestras em eventos e conferências de renome.

É autor de cinco livros que abordam assuntos como Software Livre, Grid Computing, Software Embarcado e Cloud Computing. Cezar Taurion também mantém um dos blogs mais acessados da comunidade IBM developerWorks. Mantém, também, um blog específico sobre Cloud Computing em www.computingonclouds.wordpress.com

Deixe seu comentário:





© Copyright 2002-2018
Portal SOS Designers
Webmaster: Luiz Antonio Bovi